Основные рекомендации

1. Выполнить диагностику и настройку локальной сети на предмет стабильности соединения между компьютерами:
   • Расписать общую топологию сети (количество роутеров, зависимости между ними, пароли доступа к роутерам)
   • Обновить роутеры до последних версий прошивок
   • Настроить доступность портов согласно инструкции по Настройке портов из справочного руководства.
2. Проводить проверки жёсткого диска на предмет наличия ошибок чтения/записи, мониторинг “здоровья” жёсткого диска, следить за наличием битых секторов с помощью специализированных программ CrystalDiskInfo и Victoria HDD/SSD. Проверять жёсткие диски раз в месяц с занесением в журнал проверок.
3. Своевременно делать резервные копии не только сервера КРОС, но и всей операционной системы в целом:
   • Резервные копии сервера КРОС, ключей лицензии и конфигурационных файлов делать раз в сутки
   • Резервные копии операционной системы делать минимум один раз в месяц.
   • Хранить резервные копии сервера КРОС на диске куда не установлена операционная система, чтобы в случае сбоя операционной системы не потерять все данные вместе с системой.
4. Проверить компьютер с сервером КРОС на соответствие системным требованиям:
   • Процессор - 8 ядер
   • Оперативная память - 16 Гб
   • Жёсткий диск SSD 250Гб (операционная система, база данных PostgreSQL, КРОС)
   • Жёсткий диск HDD 1000Гб (логи сервера КРОС и бэкапы)
   • Пропускная способность от 5 Мбит/сек
5. Оборудовать компьютер с сервером КРОС источником бесперебойного питания (при аварийных остановках операционной системы страдает в первую очередь жёсткий диск и база данных)
6. Вести логирование действий с сервером для упрощения оказания технической поддержки в случае инцидентов:
   • Обновления операционной системы
   • Обновления сервера КРОС
   • Замена комплектующих компьютера
   • Логирование действий приведших к аварии
7. Продумать систему резервного/подменного сервера на случай полного выхода из строя основного оборудования:
   • Запасной компьютер / запасные комплектующие для возможности быстрой замены вышедших из строя
   • Использовать систему зеркалирования данных, являющуюся частью сервера КРОС.
8. Обеспечить сохранность логинов и паролей для доступа на сервер КРОС и в операционную систему. На ПЦО всегда должен присутствовать сотрудник, знающий пароли от операционной системы, сервера КРОС и роутеров. Хранить пароли в секретных конвертах в сейфе с возможностью доступа. Это необходимо для оказания оперативной помощи сотрудниками технической поддержки сервера КРОС.

Обязательно поменяйте все пароли. Новый пароль должен содержать прописные, заглавные буквы, числа и желательно спецсимволы, кроме двоеточия ":".

1. • Проверить Список приборов поддерживающих функционал удаленного конфигурирования и обновления ПО, с указанием минималной версии ПО

В начало статьи

Рекомендации по безопасности

1. Для исключения несанкционированного доступа к серверу КРОС, необходимо, в обязательном порядке, изменить все пароли, а так же задавать сложные пароли новым пользователям.
2. Для исключения внешнего воздействия на комплекс можно использовать встроенный в ОС Astra межсетевой экран. В нем можно прописать конкретные IP адреса с которых разрешен доступ к серверу КРОС. Для настройки правил в графическом режиме можно воспользоваться утилитой gufw. Для ОС Windows можно использовать встроенный Брэндмауер.
3. Для безопасного доступа из внешней сети рекомендуется создать свою защищенную сеть на основе OpenVPN для ОС Astra или для Windows.
4. Настроить SSL соединение. При настройке SSL соединения для доступа к серверу КРОС и Веб АРМ, необходимо сделать сертификат jks ("java key storage"). По умолчанию файл с сертификатом располагается в /usr/local/smpo-server/conf/ и называется smpo-keystore.jks. Его необходимо заменить на свой, так как данный ключ связан с доменом jupiter8.ru. Параметры доступа к сертификату настраиваются пользователем superadmin в разделе Администрирование -> Безопасность -> вкладка "Сертификаты".

В начало статьи